Twitter kısa süre önce, çoğu insanın hesaplarını nasıl koruduğunu etkileyecek büyük bir değişikliğe girişti. Şirket, ödeme yapmayan kullanıcılara yakında popüler bir güvenlik özelliğini kullanmayı bırakmaları gerekeceğini söyledi: kısa mesaj yoluyla iki faktörlü kimlik doğrulama.
Bunun neden korktuğunuz kadar kötü olmadığını açıklamama izin verin.
Basit bir dille, iki faktörlü kimlik doğrulama, söylediğiniz kişi olduğunuzu doğrulamak için iki güvenlik adımı gerektirir. İlk adımda sizden bir kullanıcı adı ve şifre istenecek ve ikinci adımda ya size gönderilecek geçici bir kodu girmeniz ya da fiziksel bir güvenlik anahtarı ile bağlanmanız gerekecek. Bu şekilde, birisi şifrenizi bilse bile, o kişinin hesabınıza giriş yapmak için yine de ikinci adımı tamamlaması gerekir.
Bu değişikliğin Twitter tarafından duyurulması başta birçok kişi için kafa karıştırıcı ve endişe verici oldu. Ancak açık olmak gerekirse, Twitter kullanıcıları daha sıkı güvenlik önlemleri almaya çağırıyor ve bu, hepimize kurşunu ısırma ve çevrimiçi hesaplarımızın güvenliğini artırma şansı veriyor.
twitter bir blog gönderisinde söyledi Twitter Blue hizmetine abone olmayan kullanıcılar, 20 Mart’tan sonra metin mesajlarını bir kimlik doğrulama biçimi olarak kullanamayacak. Ödeme yapmayan kullanıcılar, daha güçlü güvenlik biçimleriyle diğer doğrulama tekniklerine geçebilir. Alternatifler, geçici bir kod oluşturmak için üçüncü taraf bir uygulama kullanmaya veya hesabınıza erişmek için yetkili bir güvenlik anahtarı takmaya dayanır.
Twitter’ın sahibi Elon Musk, “2FA için ücretsiz kimlik doğrulama uygulamalarını kullanmak, ücretsiz ve mesajlaşmaktan çok daha güvenli olmaya devam ediyor” dedi. tweet attı.
Güvenlik firması Bugcrowd’un baş teknoloji sorumlusu Casey Ellis’e göre Twitter, SMS tabanlı kimlik doğrulamanın eksiklikleri konusunda haklıydı. Bay Ellis, “Aslında mantıklı ama düzgün yapılmadı,” dedi.
Ancak Twitter’ın yaklaşımının olumsuz yanları da olduğunu sözlerine ekledi. Kısa mesaj kimlik doğrulaması, insanların büyük çoğunluğu için en kolay güvenlik aracı olmuştur. Diğer teknikler, kurulum için ek adımlar gerektirir.
(Ayrıca kafa karıştırıcı: Ücretli Twitter kullanıcıları, oturum açmak için kendilerine kısa mesaj yoluyla gönderilen kodlara hala güvenebilir; bu, bu tür bir kimlik doğrulama daha az güvenli olduğunda garip bir seçimdir. Twitter, bir yorum isteğine hemen yanıt vermedi.)
Diğer güvenlik yöntemlerine geçmek mantığa aykırıdır, bu nedenle ödeme yapmayan birçok Twitter kullanıcısının iki faktörlü kimlik doğrulamayı tamamen terk etme riski vardır.
Bununla birlikte, tüm bunların ortasında, iki faktörlü kimlik doğrulamanın daha güçlü yöntemleri hakkında daha fazla bilgi edinmek için değerli bir fırsat var – ve mümkün olduğunda tüm çevrimiçi hesaplarımız için neden SMS tabanlı güvenlik yerine bunlardan birini kullanmayı düşünmeliyiz. İşte her yöntem ve bunların artıları ve eksileri hakkında bilmeniz gerekenler.
SMS kimlik doğrulaması
Uzun yıllar boyunca, Twitter ve diğer web siteleri, kullanıcıları metin mesajları yoluyla iki faktörlü kimlik doğrulama kurmaya teşvik etti. Bu yöntem, kullanıcının telefonuna zamana duyarlı bir güvenlik kodu gönderir. Bu, iki faktörlü kimlik doğrulamanın en yaygın kullanılan şekliydi, çünkü neredeyse herkesin bir cep telefonu var, bu yüzden teknolojiden en az anlayan kişi bile bunu anlayabilir.
Ancak, zaman içinde güvenlik araştırmacıları, SMS kimlik doğrulamasının giderek daha sorunlu hale geldiğini keşfettiler. Güvenlik kodu içeren bir metin mesajı, telefon numaranızı ele geçiren biri tarafından ele geçirilebilir – bu, SIM değiştirme olarak bilinen bir dolandırıcılıktır. 2019 yılında hackerlar, şirketin eski CEO’su Jack Dorsey’in Twitter hesabına girdi.
Daha fazla sorun var. Kısa mesaj şifrelenmez, bu nedenle Çin ve Rusya gibi yoğun gözetimin olduğu ülkelerdeki yabancı ağlarda metin almak güvenlik riski oluşturabilir. Amerika Birleşik Devletleri dışına seyahat ediyor olsanız bile, yabancı bir operatörden kısa mesaj almak pahalı olabilir.
Bay Ellis, güvenlik araştırmacılarının SMS tabanlı kimlik doğrulamada yeni güvenlik açıkları keşfetmeye devam ettiğini, bu nedenle daha fazla web sitesi ve uygulamanın kullanıcıların metin mesajları yoluyla kod almasını engellemesini bekleyebileceğimizi söyledi.
kimlik doğrulama uygulamaları
Bu bizi bir telefona veya bilgisayara indirdiğiniz kimlik doğrulama uygulamalarına götürür. Çevrimiçi hesaplarınıza ve uygulamalarınıza giriş yapmak için girdiğiniz geçici güvenlik kodlarını (telefonunuza mesaj olarak göndermek yerine) oluştururlar.
Örnek olarak Twitter ve Google Authenticator uygulamasını ele alalım.
Kimlik doğrulayıcıları kullanmanın en büyük dezavantajı, telefonunuzu kaybederseniz veya yeni bir telefona geçerseniz, hesaplarınıza yeniden erişim sağlamanın zor olabilmesidir. Hesabınıza genellikle bir web sitesi veya Twitter gibi bir uygulama aracılığıyla bir yedek kodla yeniden erişebilirsiniz. Twitter’ın iki faktörlü kimlik doğrulama ayarlarında, “Yedek Kodlar” etiketli bir menü, tekrar oturum açmak için kullanabileceğiniz bir kod oluşturur. Bu kodu not edin ve güvenli bir yerde saklayın.
Bu tekniğin düzgün bir şekilde kurulması ve alışması biraz zaman ve zihinsel bant genişliği gerektirir, ancak genel olarak daha iyidir. Birinin güvenlik kodlarınızı görmek için cihazınızı ele geçirmesi, bir metin mesajına müdahale etmekten çok daha zordur.
güvenlik anahtarı
Üçüncü yöntem — oturum açmak için bilgisayarınıza veya telefonunuza taktığınız bir USB çubuğu biçimindeki fiziksel bir güvenlik anahtarı kullanmak — en güvenli yöntemdir. Anahtar maliyeti yüksek olduğundan ve anahtarınızı kaybederseniz hesabınıza yeniden erişim sağlamanız zor olabileceğinden, muhtemelen bu tekniğin yaygın olarak kullanıldığını görmeyeceğiz.
Örnek olarak Twitter ve Google’dan Titan güvenlik anahtarını alalım.
Sonuç olarak
Özetle, kimlik doğrulayıcı uygulaması, nispeten uygun ve kullanımı çok güvenli olan iki faktörlü bir yöntemdir. Çoğu kişiye Google Authenticator, Authy veya Microsoft Authenticator gibi bir uygulamayla gitmesini ve ona bağlı kalmasını öneriyorum. Hepsi aynı şekilde çalışıyor.
Tüm çevrimiçi hesaplarınızla bir kimlik doğrulama uygulaması ayarlamak biraz zaman alabilir, ancak bunu yalnızca bir kez yapmanız gerekir. Ve uzun vadede size zaman kazandırabilir, çünkü bu yöntemi kullanarak web sitelerinde oturum açmak kısa mesajların gelmesini beklemekten daha hızlı olabilir.
Bunun neden korktuğunuz kadar kötü olmadığını açıklamama izin verin.
Basit bir dille, iki faktörlü kimlik doğrulama, söylediğiniz kişi olduğunuzu doğrulamak için iki güvenlik adımı gerektirir. İlk adımda sizden bir kullanıcı adı ve şifre istenecek ve ikinci adımda ya size gönderilecek geçici bir kodu girmeniz ya da fiziksel bir güvenlik anahtarı ile bağlanmanız gerekecek. Bu şekilde, birisi şifrenizi bilse bile, o kişinin hesabınıza giriş yapmak için yine de ikinci adımı tamamlaması gerekir.
Bu değişikliğin Twitter tarafından duyurulması başta birçok kişi için kafa karıştırıcı ve endişe verici oldu. Ancak açık olmak gerekirse, Twitter kullanıcıları daha sıkı güvenlik önlemleri almaya çağırıyor ve bu, hepimize kurşunu ısırma ve çevrimiçi hesaplarımızın güvenliğini artırma şansı veriyor.
twitter bir blog gönderisinde söyledi Twitter Blue hizmetine abone olmayan kullanıcılar, 20 Mart’tan sonra metin mesajlarını bir kimlik doğrulama biçimi olarak kullanamayacak. Ödeme yapmayan kullanıcılar, daha güçlü güvenlik biçimleriyle diğer doğrulama tekniklerine geçebilir. Alternatifler, geçici bir kod oluşturmak için üçüncü taraf bir uygulama kullanmaya veya hesabınıza erişmek için yetkili bir güvenlik anahtarı takmaya dayanır.
Twitter’ın sahibi Elon Musk, “2FA için ücretsiz kimlik doğrulama uygulamalarını kullanmak, ücretsiz ve mesajlaşmaktan çok daha güvenli olmaya devam ediyor” dedi. tweet attı.
Güvenlik firması Bugcrowd’un baş teknoloji sorumlusu Casey Ellis’e göre Twitter, SMS tabanlı kimlik doğrulamanın eksiklikleri konusunda haklıydı. Bay Ellis, “Aslında mantıklı ama düzgün yapılmadı,” dedi.
Ancak Twitter’ın yaklaşımının olumsuz yanları da olduğunu sözlerine ekledi. Kısa mesaj kimlik doğrulaması, insanların büyük çoğunluğu için en kolay güvenlik aracı olmuştur. Diğer teknikler, kurulum için ek adımlar gerektirir.
(Ayrıca kafa karıştırıcı: Ücretli Twitter kullanıcıları, oturum açmak için kendilerine kısa mesaj yoluyla gönderilen kodlara hala güvenebilir; bu, bu tür bir kimlik doğrulama daha az güvenli olduğunda garip bir seçimdir. Twitter, bir yorum isteğine hemen yanıt vermedi.)
Diğer güvenlik yöntemlerine geçmek mantığa aykırıdır, bu nedenle ödeme yapmayan birçok Twitter kullanıcısının iki faktörlü kimlik doğrulamayı tamamen terk etme riski vardır.
Bununla birlikte, tüm bunların ortasında, iki faktörlü kimlik doğrulamanın daha güçlü yöntemleri hakkında daha fazla bilgi edinmek için değerli bir fırsat var – ve mümkün olduğunda tüm çevrimiçi hesaplarımız için neden SMS tabanlı güvenlik yerine bunlardan birini kullanmayı düşünmeliyiz. İşte her yöntem ve bunların artıları ve eksileri hakkında bilmeniz gerekenler.
SMS kimlik doğrulaması
Uzun yıllar boyunca, Twitter ve diğer web siteleri, kullanıcıları metin mesajları yoluyla iki faktörlü kimlik doğrulama kurmaya teşvik etti. Bu yöntem, kullanıcının telefonuna zamana duyarlı bir güvenlik kodu gönderir. Bu, iki faktörlü kimlik doğrulamanın en yaygın kullanılan şekliydi, çünkü neredeyse herkesin bir cep telefonu var, bu yüzden teknolojiden en az anlayan kişi bile bunu anlayabilir.
Ancak, zaman içinde güvenlik araştırmacıları, SMS kimlik doğrulamasının giderek daha sorunlu hale geldiğini keşfettiler. Güvenlik kodu içeren bir metin mesajı, telefon numaranızı ele geçiren biri tarafından ele geçirilebilir – bu, SIM değiştirme olarak bilinen bir dolandırıcılıktır. 2019 yılında hackerlar, şirketin eski CEO’su Jack Dorsey’in Twitter hesabına girdi.
Daha fazla sorun var. Kısa mesaj şifrelenmez, bu nedenle Çin ve Rusya gibi yoğun gözetimin olduğu ülkelerdeki yabancı ağlarda metin almak güvenlik riski oluşturabilir. Amerika Birleşik Devletleri dışına seyahat ediyor olsanız bile, yabancı bir operatörden kısa mesaj almak pahalı olabilir.
Bay Ellis, güvenlik araştırmacılarının SMS tabanlı kimlik doğrulamada yeni güvenlik açıkları keşfetmeye devam ettiğini, bu nedenle daha fazla web sitesi ve uygulamanın kullanıcıların metin mesajları yoluyla kod almasını engellemesini bekleyebileceğimizi söyledi.
kimlik doğrulama uygulamaları
Bu bizi bir telefona veya bilgisayara indirdiğiniz kimlik doğrulama uygulamalarına götürür. Çevrimiçi hesaplarınıza ve uygulamalarınıza giriş yapmak için girdiğiniz geçici güvenlik kodlarını (telefonunuza mesaj olarak göndermek yerine) oluştururlar.
Örnek olarak Twitter ve Google Authenticator uygulamasını ele alalım.
Öncelikle Google Authenticator uygulamasını telefonunuza indirin. Ardından bir bilgisayardan Twitter.com’a tıklayın Daha→Güvenlik ve Hesap Erişimi→İki Faktörlü Kimlik Doğrulama→kimlik doğrulama uygulaması.
Twitter’daki adımları buradan takip edin. Telefonunuzun kamerasıyla, uygulamayı Twitter hesabınıza bağlayacak ve güvenlik kodları oluşturmaya başlayacak olan bir QR kodunu taramak için kimlik doğrulayıcı uygulamasını kullanmanız istenecektir.
Kimlik doğrulayıcıları kullanmanın en büyük dezavantajı, telefonunuzu kaybederseniz veya yeni bir telefona geçerseniz, hesaplarınıza yeniden erişim sağlamanın zor olabilmesidir. Hesabınıza genellikle bir web sitesi veya Twitter gibi bir uygulama aracılığıyla bir yedek kodla yeniden erişebilirsiniz. Twitter’ın iki faktörlü kimlik doğrulama ayarlarında, “Yedek Kodlar” etiketli bir menü, tekrar oturum açmak için kullanabileceğiniz bir kod oluşturur. Bu kodu not edin ve güvenli bir yerde saklayın.
Bu tekniğin düzgün bir şekilde kurulması ve alışması biraz zaman ve zihinsel bant genişliği gerektirir, ancak genel olarak daha iyidir. Birinin güvenlik kodlarınızı görmek için cihazınızı ele geçirmesi, bir metin mesajına müdahale etmekten çok daha zordur.
güvenlik anahtarı
Üçüncü yöntem — oturum açmak için bilgisayarınıza veya telefonunuza taktığınız bir USB çubuğu biçimindeki fiziksel bir güvenlik anahtarı kullanmak — en güvenli yöntemdir. Anahtar maliyeti yüksek olduğundan ve anahtarınızı kaybederseniz hesabınıza yeniden erişim sağlamanız zor olabileceğinden, muhtemelen bu tekniğin yaygın olarak kullanıldığını görmeyeceğiz.
Örnek olarak Twitter ve Google’dan Titan güvenlik anahtarını alalım.
Öncelikle bir güvenlik anahtarı satın almanız gerekir. Google Titan Güvenlik Anahtarını 30 Dolara Satıyor; Farklı bilgisayar ve telefon türleri için bir çift anahtar içerir.
Ardından bir bilgisayardan Twitter.com’a tıklayın Daha→Güvenlik ve Hesap Erişimi→İki Faktörlü Kimlik Doğrulama→güvenlik anahtarı.
Buradan, anahtarı bir USB bağlantı noktasına takma ve anahtarı doğrulamak için bir düğmeye basma konusunda size yol gösteren Twitter’ın talimatlarını izleyin. Twitter, anahtarınızı kaybetmeniz durumunda yedek kod içeren bir ekran gösterecektir. Güvenli bir yerde saklayın.
Sonuç olarak
Özetle, kimlik doğrulayıcı uygulaması, nispeten uygun ve kullanımı çok güvenli olan iki faktörlü bir yöntemdir. Çoğu kişiye Google Authenticator, Authy veya Microsoft Authenticator gibi bir uygulamayla gitmesini ve ona bağlı kalmasını öneriyorum. Hepsi aynı şekilde çalışıyor.
Tüm çevrimiçi hesaplarınızla bir kimlik doğrulama uygulaması ayarlamak biraz zaman alabilir, ancak bunu yalnızca bir kez yapmanız gerekir. Ve uzun vadede size zaman kazandırabilir, çünkü bu yöntemi kullanarak web sitelerinde oturum açmak kısa mesajların gelmesini beklemekten daha hızlı olabilir.